アップグレードの計画

アップグレードの計画フェーズ

誤りを避けるには、注意深い計画と準備が役立ちます。この表はアップグレードの計画プロセスを要約したものです。詳細なチェックリストと手順については、「アップグレード」の章を参照してください。

表 1. アップグレードの計画フェーズ

計画フェーズ

次を含む

計画と実現可能性

展開を評価します。

アップグレードパスを計画します。

すべてのアップグレードガイドラインを読み、設定の変更を計画します。

アプライアンスへのアクセスを確認します。

帯域幅を確認します。

メンテナンス時間帯をスケジュールします。

バックアップ

ソフトウェアをバックアップします。

Firepower 4100/9300 の FXOS をバックアップします。

ASA FirePOWER 用 ASA をバックアップします。

アップグレードパッケージ

アップグレードパッケージをシスコからダウンロードします。

システムにアップグレードパッケージをアップロードします。

関連するアップグレード

仮想展開内で仮想ホスティングをアップグレードします。

Firepower 4100/9300 の FXOS をアップグレードします。

ASA FirePOWER 用 ASA をアップグレードします。

最終チェック

設定を確認します。

NTP 同期を確認します。

ディスク容量を確認します。

設定を展開します。

準備状況チェックを実行します。

実行中のタスクを確認します。

展開の正常性と通信を確認します。

現在のバージョンおよびモジュールの情報

これらのコマンドを使用して、展開に関する現在のバージョンとモデルの情報を検索します。

表 2.

コンポーネント

情報

Firepower Management Center

FMC で、[ヘルプ(Help)] > [概要(About)] を選択します。

Firepower 管理対象のデバイス

FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

Firepower 4100/9300 用 FXOS

Firepower Chassis Manager:[概要(Overview)] を選択します。

FXOS CLI:バージョンについては、show version コマンドを使用します。モデルについては、scope chassis 1 を入力し、次に show inventory を入力します。

ASA with FirePOWER Services 用 ASA OS

ASA CLI で、show version コマンドを使用します。

仮想ホスティング環境

仮想ホスティング環境のドキュメンテーションを参照してください。

アップグレードパス

アップグレードパスは、仮想ホスティング環境やアプライアンスのオペレーティングシステムなどを含め、何をいつアップグレードするかについての詳細な計画です。常に、ハードウェア、ソフトウェア、オペレーティングシステム、およびホスティングの互換性を維持する必要があります。


ヒント

このガイドでは、Firepower 7.0.x 以前について説明します。このガイドの対象読者を参照してください

何を持っているのか?

Firepower アプライアンスをアップグレードする前に、展開の現在の状態を判断します。現在のバージョンとモデル情報に加えて、デバイスが高可用性/拡張性を実現するように設定されているかどうか、および IPS、ファイアウォールなどとしてパッシブに展開されているかどうかを確認します。

現在のバージョンおよびモジュールの情報を参照してください。

どこへ行くのか?

持っているものがわかったので、行きたい場所に行けることを確認します。

  • 展開で対象の Firepower バージョンを実行できるのか?

  • アプライアンスでは、対象の Firepower バージョンを実行する前に、個別のオペレーティングシステムのアップグレードが必要となるか?アプライアンスは対象の OS を実行できるのか?

  • 仮想アプライアンスでは対象の Firepower バージョンを実行する前に、ホスティング環境のアップグレードが必要となるのか?

これらすべての質問に対する回答については、次のいずれかを参照してください。

アクセス方法は?

アプライアンスが対象のバージョンを実行できることを確認したら、直接アップグレードが可能であることを確認します。

  • Firepower ソフトウェアを直接アップグレードできるのか?

  • Firepower 4100/9300 では、FXOS を直接アップグレードできるのか?

  • FirePOWER サービスを搭載した ASA では、ASA を直接アップグレードできるのか?

これらすべての質問に対する回答については、本ガイドに記載されているアップグレードパスを参照してください。


ヒント

中間バージョンを必要とするアップグレードパスには時間がかかる場合があります。特に、FMC とデバイスのアップグレードを交互に行う必要がある大規模な Firepower の展開では、アップグレードする代わりに古いデバイスのイメージを再作成することを検討してください。まず、FMC からデバイスを削除します。その後、FMC をアップグレードし、デバイスを再イメージ化してから、それらを FMC に再追加します。

展開の互換性を維持できるのか?

常に、ハードウェア、ソフトウェア、オペレーティングシステムの互換性を維持する必要があります。

アップグレードパス:Firepower Management Center

次の表に FMC(FMCv を含む)のアップグレードパスを示します。

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。


(注)  

現在のバージョンが対象のバージョンより後の日付にリリースされた場合、期待どおりにアップグレードできない可能性があります。このような場合、アップグレードはすぐに失敗し、2 つのバージョン間にデータストアの非互換性があることを説明するエラーが表示されます。 現在のバージョンと対象のバージョンの両方のに関するリリースノートには、特定の制限が掲載されています。

表 3. FMC の直接アップグレード

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

FMC 1000、2500、4500 に対する最後のサポート

次のいずれかです。

→ 7.1.0 ~ 7.4.x

→ 7.0.x 以降のメンテナンスリリース

(注)  

 

データストアの非互換性のため、 をバージョン 7.0.4 以降からバージョン 7.1.0 にアップグレードすることができません。バージョン 7.2 以降に直接アップグレードすることをお勧めします。

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 ~ 7.2.x

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

FMC 2000 および 4000 の最後のサポート。

次のいずれかです。

→ 6.7.0 ~ 7.2.x

→ 6.6.x メンテナンスリリース以降

(注)  

 

データストアの非互換性のため、バージョン 6.6.5 以降からバージョン 6.7.0 にアップグレードすることができません。バージョン 7.0.0 以降に直接アップグレードすることをお勧めします。

6.5.0

6.6.0 ~ 7.1.x

6.4.0

FMC 750、1500、および 3500 の最後のサポート。

次のいずれかです。

→ 6.6.0 ~ 7.0.x

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.6.0 ~ 6.7.x

→ 6.5.0

→6.4.0

6.2.3

次のいずれかです。

→ 6.6.x

→ 6.5.0

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

次のプレインストールパッケージが必要です:Firepower System Release Notes Version 6.0.1 Preinstallation

5.4.1.1

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

アップグレード パス:FTD 論理デバイス を備えた Firepower 4100/9300

この表は、Firepower Management Center によって管理される FTD 論理デバイスを搭載した Firepower 4100/9300 のアップグレードパスを示しています。


(注)  

別のモジュールで実行されている FTD および ASA を搭載した Firepower 9300 シャーシをアップグレードする場合は、Cisco Firepower 4100/9300 Upgrade Guide, Firepower 6.0.1–7.0.x or ASA 9.4(1)–9.16(x) with FXOS 1.1.1–2.10.1を参照してください。

左側の列で現在のバージョンの組み合わせを確認します。右側の列に記載されているバージョンの組み合わせにアップグレードできます。これは複数のステップからなるプロセスであり、最初に FXOS をアップグレードしてから、次に論理デバイスをアップグレードします。

この表には、シスコにより特別に認定されたバージョンの組み合わせのみが掲載されていることに注意してください。最初に FXOS をアップグレードする必要があるため、サポートされている(ただし推奨されません)組み合わせを簡単に実行します。ここでは、FXOS が論理デバイスの「前」にあります。最小限のビルドおよびその他の詳細な互換性情報については、『Cisco Firepower 4100/9300 FXOS の互換性』を参照してください。

表 4. アップグレード パス:FTD 論理デバイス を搭載した Firepower 4100/9300

現在のバージョン

対象のバージョン

FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.x を搭載した FXOS 2.9.1

FTD 6.5.0 を搭載した FXOS 2.7.1

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

FTD 6.4.0 を搭載した FXOS 2.6.1

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

→ FTD 6.5.0 を搭載した FXOS 2.7.1

FTD 6.3.0 を搭載した FXOS 2.4.1

次のいずれかです。

→ FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

→ FTD 6.5.0 を搭載した FXOS 2.7.1

→ FTD 6.4.0 を搭載した FXOS 2.6.1

FTD 6.2.3 を搭載した FXOS 2.3.1

次のいずれかです。

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

→ FTD 6.5.0 を搭載した FXOS 2.7.1

→ FTD 6.4.0 を搭載した FXOS 2.6.1

→ FTD 6.3.0 を搭載した FXOS 2.4.1

FTD 6.2.2 を搭載した FXOS 2.2.2

次のいずれかです。

→ FTD 6.4.0 を搭載した FXOS 2.6.1

→ FTD 6.3.0 を搭載した FXOS 2.4.1

→ FTD 6.2.3 を搭載した FXOS 2.3.1

FTD 6.2.0 を搭載した FXOS 2.2.2

次のいずれかです。

→ FTD 6.4.0 を搭載した FXOS 2.6.1

→ FTD 6.3.0 を搭載した FXOS 2.4.1

→ FTD 6.2.3 を搭載した FXOS 2.3.1

→ FTD 6.2.2 を搭載した FXOS 2.2.2
FTD 6.2.0 を搭載した FXOS 2.2.1

→ FTD 6.2.0 を搭載した FXOS 2.2.2(FXOS のみをアップグレード)

もう 1 つのオプションは、推奨される組み合わせである FTD 6.2.2 を搭載した FXOS 2.2.2 にアップグレードすることです。ただし、展開をさらにアップグレードする予定がある場合は、気にしないでください。FXOS 2.2.2 を実行しているので、FTD 6.4.0 を搭載した FXOS 2.6.1 にアップグレードできます。

FTD 6.2.0 を搭載した FXOS 2.1.1

→ FTD 6.2.0 を搭載した FXOS 2.2.1(FXOS のみをアップグレード)

FTD 6.1.0 を搭載した FXOS 2.0.1

→ FTD 6.2.0 を搭載した FXOS 2.1.1

FTD 6.0.1 を搭載した FXOS 1.1.4

→ FTD 6.1.0 を搭載した FXOS 2.0.1

クラスタまたは HA ペアの FTD 論理デバイスを搭載した FXOS のアップグレード

Firepower Management Center の展開では、クラスタ化された高可用性の FTD 論理デバイスを 1 つのユニットとしてアップグレードします。ただし、各シャーシの FXOS を個別にアップグレードします。

表 5. FXOS + FTD のアップグレード順序

展開

アップグレード順序

スタンドアロンデバイス

クラスタ、同じシャーシ上のユニット(Firepower 9300 のみ)

  1. FXOS をアップグレードします。

  2. FTD のアップグレード。

ハイ アベイラビリティ

中断を最小限に抑えるため、スタンバイは常にアップグレードします。

  1. スタンバイの FXOS をアップグレードします。

  2. ロールを切り替えます。

  3. 新しいスタンバイの FXOS をアップグレードします。

  4. FTD のアップグレード。

クラスタ、異なるシャーシ上のユニット(6.2+)

中断を最小限に抑えるため、すべてデータユニットのシャーシを常にアップグレードします。たとえば、2 つのシャーシがあるクラスタの場合:

  1. すべてデータユニットのシャーシの FXOS をアップグレードします。

  2. 制御モジュールをアップグレードしたシャーシに切り替えます。

  3. 新しいすべてデータユニットのシャーシの FXOS をアップグレードします。

  4. FTD のアップグレード。

古いバージョンでは、無中断アップグレードにはいくつかの追加要件があります。

表 6. 古いバージョンでの無中断アップグレード

シナリオ

詳細
高可用性またはクラスタ化されたデバイスのアップグレードで、現在次のいずれかを実行しています。

  • FXOS 1.1.4.x ~ 2.2.1.x

  • FXOS 2.2.2.17 ~ FXOS 2.2.2.68

  • FXOS 2.3.1.73 ~ FXOS 2.3.1.111

次の場合:

  • FTD 6.0.1 ~ 6.2.2.x

フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。無中断アップグレードを実施するには、常に互換性のある組み合わせを実行する必要があります。

アップグレードパスに FXOS の2.2.2.91、2.3.1.130、またはそれ以降のアップグレード(FXOS 2.4.1. x、2.6.1 などを含む)が含まれている場合、次のパスを使用します。

1. FTD を 6.2.2.2 以降にアップグレードします。

2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。

3. FTD を最終バージョンにアップグレードします。

たとえば、FTD 6.2.2.0 を搭載した FXOS 2.2.2.17 を実行していて、FTD 6.4.0 を搭載した FXOS 2.6.1 にアップグレードする場合は、次を実行できます。

1. FTD を 6.2.2.5 にアップグレードします。

2. FXOS を 2.6.1 にアップグレードします。

3. FTD を 6.4.0 にアップグレードします。

高可用性デバイスの FTD バージョン 6.1.0 へのアップグレード

プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。

ダウングレードについての注記

FXOS イメージのダウングレードは公式にはサポートされていません。シスコがサポートする唯一の FXOS のイメージバージョンのダウングレード方法は、デバイスの完全な再イメージ化を実行することです。

アップグレードパス:その他の Firepower Threat Defense デバイス

この表は、オペレーティングシステムを更新する必要がない、FMC によって管理される FTD デバイスのアップグレードパスを示しています Firepower 1000/2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および Firepower Threat Defense Virtual

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。

表 7. アップグレードパス:FMC を搭載した Firepower 1000/2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および Firepower Threat Defense Virtual

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

ASA 5508-X および 5516-X における最後の FTD サポート

→ 7.0.x 以降のメンテナンスリリース

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

ASA 5525-X、5545-X、5555-X における最後の FTD サポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.x メンテナンスリリース以降

6.5.0

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

6.4.0

ASA 5515-X における最後の FTD サポート

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

6.2.3

ASA 5506-X シリーズにおける最後の FTD サポート

次のいずれかです。

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

Firepower 2100 シリーズのみ。

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

→ 6.1.0

アップグレードパス:Firepower 7000/8000 シリーズ

この表に、FMC によって管理される Firepower 7000/8000 シリーズデバイスのアップグレードパスを示します。

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。

表 8. アップグレードパス:FMC を搭載した Firepower 7000/8000 シリーズ

現在のバージョン

ターゲットバージョン

6.4.0

なし。

バージョン 6.4.0 は、Firepower 7000/8000 シリーズ デバイスの最後のメジャーリリースです。

6.3.0

次のいずれかです。

→6.4.0

6.2.3

次のいずれかです。

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

このプラットフォームではサポートされていません。

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

5.4.0.2

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

アップグレードパス: ASA FirePOWER

この表に、FMC によって管理される ASA FirePOWER module のアップグレードパスを示します。

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。

必要に応じて、ASA もアップグレードできます。ASA と ASA FirePOWER のバージョンには幅広い互換性があります。ただし、アップグレードすると、新機能を利用でき、問題も解決されます。 ASA のアップグレードパスについては、アップグレードパス:ASA FirePOWER 用 ASA を参照してください。

表 9. アップグレードパス:FMC を搭載した ASA FirePOWER

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

任意のプラットフォームにおける最後の ASA FirePOWER のサポート。

→ 7.0.x 以降のメンテナンスリリース

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

ASA 5525-X、5545-X、5555-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.x メンテナンスリリース以降

6.5.0

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

6.4.0

ASA 5585-X シリーズおよび ASA 5515-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

6.2.3

ASA 5506-x シリーズおよび ASA 5512-x での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

このプラットフォームではサポートされていません。

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

5.4.0.2 または 5.4.1.1

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

ASA のアップグレード

ASA と ASA FirePOWER のバージョンには幅広い互換性があります。ただし、アップグレードすると、新機能を利用でき、問題も解決されます。詳細な互換性情報については、「Cisco Secure Firewall ASA の互換性」を参照してください。

ASA クラスタリングまたはフェールオーバーペアが設定されていても、デバイスごとに個別に ASA をアップグレードします。ASA FirePOWER モジュールをアップグレードする正確なタイミング(ASA のリロードの前か後か)は、展開によって異なります。次の表に、スタンドアロンおよび HA/スケーラビリティ展開の ASA アップグレード順序の概要を示します。詳細な手順については、「ASA のアップグレード」を参照してください。

表 10. ASA + ASA FirePOWER のアップグレード順序

ASA 展開

アップグレード順序

スタンドアロンデバイス

  1. ASA をアップグレードします(リロードを含む)。

  2. ASA FirePOWER をアップグレードします。

ASA フェールオーバー:アクティブ/スタンバイ

スタンバイを常にアップグレードします。

  1. スタンバイの ASA をアップグレードします(ただし、リロードしません)。

  2. スタンバイの ASA FirePOWER をアップグレードします。

  3. スタンバイの ASA をリロードします。

  4. フェールオーバーします。

  5. 新しいスタンバイの ASA をアップグレードします。

  6. 新しいスタンバイの ASA FirePOWER をアップグレードします。

  7. 新しいスタンバイの ASA をリロードします。

ASA フェールオーバー:アクティブ/スタンバイ

アップグレードしないユニットの両方のフェールオーバーグループをアクティブにします。

  1. プライマリの両方のフェールオーバーグループをアクティブにします。

  2. セカンダリの ASA をアップグレードします(ただし、リロードしません)。

  3. セカンダリの ASA FirePOWER をアップグレードします。

  4. セカンダリの ASA をリロードします。

  5. セカンダリの両方のフェールオーバーグループをアクティブにします。

  6. プライマリの ASA をアップグレードします(ただし、リロードしません)。

  7. プライマリの ASA FirePOWER をアップグレードします。

  8. プライマリの ASA をリロードします。

ASA クラスタ

アップグレードの前に、各ユニットでクラスタリングを無効にします。一度に 1 つのユニットからアップグレードし、制御ユニットを最後に残します。

  1. データユニットでクラスタリングを無効にします。

  2. そのデータユニットの ASA をアップグレードします(ただし、リロードしません)。

  3. ユニットの ASA FirePOWER をアップグレードします。

  4. ASA をリロードします。

  5. クラスタリングを再び有効にします。ユニットが再びクラスタに参加するのを待ちます。

  6. 各データユニットに対して手順を繰り返します。

  7. 制御ユニットでクラスタリングを無効にします。新しい制御ユニットが引き継ぐまで待ちます。

  8. 前の制御ユニットの ASA をアップグレードします(ただし、リロードしません)。

  9. 前の制御ユニットの ASA FirePOWER をアップグレードします。

  10. クラスタリングを再び有効にします。

アップグレードパス:ASA FirePOWER 用 ASA

この表は、FirePOWER サービスを使用した ASA 上の ASA 用のアップグレード パスを示します。 ASA と ASA FirePOWER のバージョンには幅広い互換性があります。ただし、アップグレードすると、新機能を利用でき、問題も解決されます。

左側の列で現在 ASA のバージョンを確認します。記載されている対象のバージョンに直接アップグレードできます。推奨バージョンは太字で示されています。

表 11. アップグレードパス:ASA FirePOWER 用 ASA

現在のバージョン

ターゲットバージョン

9.15(x)

Firepower バージョン 7.0.x を搭載した、任意のプラットフォームでの最後の ASA FirePOWER のサポート。

9.16(x)

9.14(x)

Firepower バージョン 6.6.x を搭載した、ASA 5525-X、ASA 5545-X、ASA 5555-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

9.16(x)

9.15(x)

9.13(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

Firepower バージョン 6.4.0 を搭載した、ASA 5515-X および ASA 5585-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

9.10(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

9.9(x)

Firepower バージョン 6.2.3 を搭載した、ASA 5506-X シリーズおよび ASA 5512-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

9.7(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

9.6(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.5(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.4(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.3(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.2(x)

次のいずれかです。

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

アップグレードパス:NGIPSv

この表に、FMC によって管理される NGIPSv のアップグレードパスを示します。

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。

表 12. アップグレードパス:FMC を搭載した NGIPSv

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

最後の NGIPSv のサポート。

→ 7.0.x 以降のメンテナンスリリース

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.x メンテナンスリリース以降

6.5.0

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

6.4.0

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

6.2.3

次のいずれかです。

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

6.2.1

このプラットフォームではサポートされていません。

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

5.4.1.1

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

応答しないアップグレード

アップグレード中は、設定の変更の実施または展開を行わないでください。システムが非アクティブに見えても、アップグレード中は手動で再起動またはシャットダウンしないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。

応答しない FMC または従来のデバイスのアップグレード

進行中のアップグレードは再開しないでください。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合にはCisco TACにお問い合わせください。

応答しない FTD のアップグレード

メジャーアップグレードやメンテナンスアップグレードでは、失敗したアップグレードまたは進行中のアップグレードを手動でキャンセルし、失敗したアップグレードを再試行できます。FMC で、[デバイス管理(Device Management)] ページの [アップグレード(Upgrade)] タブ、およびメッセージセンターからアクセスできる [アップグレードステータス(Upgrade Status)] ポップアップを使用します。FTD CLI を使用することもできます。


(注)  

デフォルトでは、FTD はアップグレードが失敗すると自動的にアップグレード前の状態に復元されます(「自動キャンセル」)。失敗したアップグレードを手動でキャンセルまたは再試行できるようにするには、アップグレードを開始するときに自動キャンセルオプションを無効にします。パッチの自動キャンセルはサポートされていません。高可用性またはクラスタ展開では、自動キャンセルは各デバイスに個別に適用されます。つまり、1 つのデバイスでアップグレードが失敗した場合、そのデバイスだけが元に戻ります。

この機能は、パッチまたはバージョン 6.6 以前からのアップグレードではサポートされていません。

時間とディスク容量のテスト

参考のために、FMC およびソフトウェアのアップグレードにかかる時間とディスク容量のテストに関するレポートを提供しています。実際のレポートについては、対象バージョンのリリースノートを参照してください。

時間テスト

特定のプラットフォームおよびシリーズでテストされたすべてのソフトウェアアップグレードの中で最長のテスト時間を報告します。次の表で説明するように、アップグレードには、複数の理由により、指定された時間よりも時間がかかる可能性があります。将来のベンチマークとして使用できるように、独自のアップグレード時間を追跡および記録することをお勧めします。


注意    

アップグレード中は、設定を変更または展開しないでください。システムが非アクティブに見えても、手動で再起動またはシャットダウンしないでください。ほとんどの場合、進行中のアップグレードを再開しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には 応答しないアップグレード を参照してください。
表 13. ソフトウェアアップグレードの時間テストの条件

条件

詳細

配置

デバイスアップグレードの時間は、FMC 展開でのテストに基づいています。同様の条件の場合、リモートとローカルの管理対象デバイスの raw アップグレード時間は類似しています。

バージョン

メジャーリリースおよびメンテナンスリリースでは、以前のすべての対象メジャーバージョンからのアップグレードをテストします。パッチについては、ベースバージョンからアップグレードをテストします。アップグレードでバージョンがスキップされると、通常、アップグレード時間は長くなります。

モデル

ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

仮想アプライアンス

メモリおよびリソースのデフォルト設定を使用してテストします。ただし、仮想展開でのアップグレード時間はハードウェアに大きく依存することに注意してください。

高可用性/拡張性

特に断りのない限り、スタンドアロンデバイスでテストします。

高可用性の構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンスモードで動作します。そのため、デバイスペアまたはクラスタ全体のアップグレードには、スタンドアロンデバイスのアップグレードよりも長い時間がかかります。

設定

シスコでは、構成およびトラフィック負荷が最小限のアプライアンスでテストを行います。

アップグレード時間は、構成の複雑さ、イベントデータベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

コンポーネント

ソフトウェアアップグレード自体とその後の再起動のみの時間を報告します。これには、オペレーティングシステムのアップグレード、アップグレードパッケージの転送、準備状況チェック、VDB および侵入ルール (SRU/LSP)の更新、または設定の展開のための時間は含まれません。

ディスク容量テスト

特定のプラットフォーム/シリーズでテストされたすべてのソフトウェアアップグレードの中で最も多く使用されているディスク容量を報告します。これには、アップグレードパッケージをデバイスにコピーするために必要な容量が含まれます。

また、デバイス アップグレード パッケージ用に FMC(/Volume または /var 内)に必要な容量も報告します。FTD アップグレードパッケージ用の内部サーバーがある場合、または FDM を使用している場合は、それらの値を無視してください。

特定の場所(/var や /ngfw など)のディスク容量の見積もりを報告する場合、その場所にマウントされているパーティションのディスク容量の見積もりを報告しています。一部のプラットフォームでは、これらの場所が同じパーティション上にある場合があります。

空きディスク容量が十分でない場合、アップグレードは失敗します。

表 14. ディスク容量の確認

プラットフォーム

コマンド

FMC

[システム(System)] > [モニタリング(Monitoring)] > [統計(Statistics)]を選択し、FMC を選択します。[ディスク使用率(Disk Usage)] で、[By Partition] の詳細を展開します。

FTD with FMC

[システム(System)] > [モニタリング(Monitoring)] > [統計(Statistics)]を選択し、確認するデバイスを選択します。[ディスク使用率(Disk Usage)] で、[By Partition] の詳細を展開します。

アップグレードパッケージのダウンロード

アップグレードを開始する前に シスコ サポートおよびダウンロード サイト からアップグレードパッケージをダウンロードしてください。特定のアップグレードに応じて、ローカルコンピュータまたはアプライアンスがアクセスできるサーバーにパッケージを配置する必要があります。このガイドの個々のチェックリストと手順では、選択肢について説明します。


(注)  

ダウンロードには、Cisco.com のログインおよびサービス契約が必要です。

Firepower ソフトウェア パッケージ

アップグレードパッケージは シスコ サポートおよびダウンロード サイト で入手できます。

アップグレードパッケージを検索するには、アプライアンスモデルを選択または検索し、現在のバージョンのソフトウェアのダウンロードページを参照します。使用可能なアップグレードパッケージは、インストールパッケージ、ホットフィックス、およびその他の該当するダウンロードとともに表示されます。


ヒント

インターネットにアクセスできる Firepower Management Center では、リリースが手動でダウンロードできるようになった後しばらくしてから、シスコから選択したリリースを直接ダウンロードできます。遅延の長さは、リリースの種類、リリースの選択、およびその他の要因によって異なります。

ファミリまたはシリーズのすべてのモデルに同じアップグレードパッケージを使用します。アップグレードパッケージのファイル名には、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、およびソフトウェアバージョンが反映されています。 メンテナンスリリースでは、アップグレード パッケージ タイプが使用されます。

次に例を示します。

  • パッケージ:Cisco_Firepower_Mgmt_Center_Upgrade--999.sh.REL.tar

  • プラットフォーム: Firepower Management Center

  • パッケージタイプ:アップグレード

  • バージョンとビルド:-999

  • ファイル拡張子:sh.REL.tar

システムでは、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1 以上からのアップグレードパッケージは、署名付きの tar アーカイブ(.tar)になっています。署名付きの(.tar)パッケージは解凍しないでください。また、アップグレードパッケージを電子メールで転送しないでください。


(注)  

署名付きのアップグレードパッケージをアップロードした後、Firepower Management Centerシステムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、これらのパッケージが不要になった後にパッケージを削除します。

Firepower ソフトウェア アップグレード パッケージ

表 15.

プラットフォーム

バージョン

パッケージ

FMC/FMCv

6.3.0 以降

Cisco_Firepower_Mgmt_Center

5.4.0 ~ 6.2.3

Sourcefire_3D_Defense_Center_S3

Firepower 1000 シリーズ

いずれか

Cisco_FTD_SSP-FP1K

Firepower 2100 シリーズ

いずれか

Cisco_FTD_SSP-FP2K

Firepower 4100/9300

任意(Any)

Cisco_FTD_SSP

FTD を搭載した ASA 5500-X シリーズ

FTD を使用した ISA 3000

FTDv

いずれか

Cisco_FTD

Firepower 7000/8000 シリーズ

AMP モデル

6.3.0 ~ 6.4.0

Cisco_Firepower_NGIPS_Appliance

5.4.0 ~ 6.2.3

Sourcefire_3D_Device_S3

ASA FirePOWER

いずれか

Cisco_Network_Sensor

NGIPSv

6.3.0 以降

Cisco_Firepower_NGIPS_Virtual

6.2.2 ~ 6.2.3

Sourcefire_3D_Device_VMware

5.4.0 ~ 6.2.0

Sourcefire_3D_Device_Virtual64_VMware

FXOS パッケージ

Firepower 4100/9300 用の FXOS パッケージは、シスコ サポートおよびダウンロード サイト で利用できます。

FXOS パッケージを見つけるには、Firepower アプライアンスモデルを選択または検索し、対象バージョンの Firepower Extensible Operating System のダウンロードページを参照します。


(注)  

CLI を使用して FXOS をアップグレードする場合は、Firepower 4100/9300 が SCP、SFTP、TFTP、または FTP を使用してアクセスできるサーバーにアップグレードパッケージをコピーします。

表 16. Firepower 4100/9300 用 FXOS パッケージ

パッケージ タイプ

パッケージ

FXOS イメージ

fxos-k9.version.SPA

リカバリ(キックスタート)

fxos-k9-kickstart.version.SPA

リカバリ(マネージャ)

fxos-k9-manager.version.SPA

リカバリ(システム)

fxos-k9-system.version.SPA

MIB

fxos-mibs-fp9k-fp4k.version.zip

ファームウェア:Firepower 4100 シリーズ

fxos-k9-fpr4k-firmware.version.SPA

ファームウェア:Firepower 9300

fxos-k9-fpr9k-firmware.version.SPA

ASA パッケージ

ASA ソフトウェアは シスコ サポートおよびダウンロード サイト で利用できます。

ASA ソフトウェアを見つけるには、使用している Firepower アプライアンスモデルを選択または検索し、適切なダウンロードページを参照して、バージョンを選択します。


(注)  

ASDM アップグレードウィザードを使用している場合は、事前にダウンロードする必要はありません。それ以外の場合は、ローカルコンピュータにダウンロードします。CLI アップグレードの場合、HTTP、FTP、SCP など、ASA copy コマンドでサポートされているプロトコルを介してデバイスがアクセスできるサーバーにソフトウェアをコピーする必要があります。

表 17. ASA ソフトウェア

ダウンロードページ

ソフトウェアタイプ

パッケージ

適応型セキュリティアプライアンス(ASA)ソフトウェア

ASA および ASDM のアップグレード

asaversion-lfbff-k8.SPA

ASA 5506-X、ASA 5508-X、ASA 5516-X、および ISA 3000 用

asaversion-smp-k8.bin

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X および ASA 5585-X 用

適応型セキュリティアプライアンス(ASA)デバイスマネージャ

ASDM のアップグレードのみ

asdm-version.bin

適応型セキュリティアプライアンス REST API プラグイン

ASA REST API

asa-restapi-version-lfbff-k8.SPA

Firepower ソフトウェア アップグレード パッケージのアップロード

Firepower ソフトウェアをアップグレードするには、アップグレードパッケージがアプライアンスにある必要があります。

Firepower Management Center にアップロード

次の手順を使用して、FMC 自体と FMC が管理するデバイス用に、手動で Firepower ソフトウェアのアップグレードパッケージを Firepower Management Center にアップロードします。

始める前に

高可用性ペアのスタンバイの Firepower Management Center をアップグレードしている場合は、同期を一時停止します。

FMC の高可用性の展開では、FMC アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。HA 同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

手順

ステップ 1

Firepower Management Center Web インターフェイスで [システム(System)] > [更新(Updates)] を選択します。

ステップ 2

[更新のアップロード(Upload Update)] をクリックします。

ヒント

 

一部のアップグレードパッケージは、リリースが手動でダウンロードできるようになってからしばらくすると、Firepower Management Center によって直接ダウンロードできるようになります。遅延の長さは、リリースの種類、リリースの選択、およびその他の要因によって異なります。 Firepower Management Center がインターネットにアクセスできる場合は、代わりに [アップデートのダウンロード(Download updates)] をクリックして、展開の対象となるすべてのパッケージと、必要に応じて最新の VDB をダウンロードできます。

ステップ 3

(バージョン 6.6.0+)アクションについては、[ローカルソフトウェアアップデートパッケージのアップロード(Upload local software update package)] オプションボタンをクリックします。

ステップ 4

[ファイルの選択(Choose File)] をクリックします。

ステップ 5

パッケージを参照し、[アップロード(Upload)] をクリックします。

内部サーバへのアップロード(FMC を使用したバージョン 6.6.0 以降の FTD)

バージョン 6.6.0 以降では、Firepower Threat Defense デバイスは、FMC からではなく内部 Web サーバからアップグレードパッケージを取得できます。これは、FMC とそのデバイスの間の帯域幅が制限されている場合に特に役立ちます。また、FMC 上の領域も節約できます。


(注)  

この機能は、バージョン 6.6.0+ を実行している FTD デバイスでのみサポートされています。バージョン 6.6.0 へのアップグレードではサポートされておらず、FMC または従来のデバイスでもサポートされていません。

この機能を設定するには、Web サーバーのアップグレードパッケージの場所にポインタ(URL)を保存します。アップグレードプロセスでは、FMC ではなく Web サーバからアップグレードパッケージが取得されます。または、アップグレードする前に、FMC のプッシュ機能を使用してパッケージをコピーすることもできます。

各 FTD アップグレードパッケージに対して、この手順を繰り返します。アップグレードパッケージごとに、1 つの場所のみを設定できます。

始める前に

  • シスコ サポートおよびダウンロード サイト から適切なアップグレードパッケージをダウンロードし、FTD デバイスがアクセスできる内部 Web サーバーにコピーします。

  • セキュア Webサーバー(HTTPS)の場合は、サーバーのデジタル証明書(PEM 形式)を取得します。サーバーの管理者から証明書を取得できるようにする必要があります。また、ブラウザまたは OpenSSL などのツールを使用して、サーバーの証明書の詳細を表示したり、証明書をエクスポートまたはコピーしたりすることもできます。

手順

ステップ 1

FMC Web インターフェイスで、[System] > [Updates] を選択します。

ステップ 2

[更新のアップロード(Upload Update)] をクリックします。

何もアップロードしない場合でも、このオプションを選択します。次のページに、URL の入力を求めるプロンプトが表示されます。

ステップ 3

アクションについては、[ローカルソフトウェアアップデートパッケージのアップロード(Upload local software update package)] オプション ボタンをクリックします。

ステップ 4

アップグレードパッケージの送信元 URL を入力します。

次の例のように、プロトコル(HTTP/HTTPS)とフルパスを提供します。

https://internal_web_server/upgrade_package.sh.REL.tar

アップグレードパッケージのファイル名には、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、およびアップグレードする Firepower のバージョンが反映されています。正しいファイル名を入力したことを確認します。

ステップ 5

HTTPS サーバーの場合は、CA 証明書を提供します。

これは、以前取得したサーバーのデジタル証明書です。テキストブロック全体(BEGIN CERTIFICATE 行と END CERTIFICATE行を含む)をコピーして貼り付けます。

ステップ 6

[保存(Save)] をクリックします。

[製品アップデート(Product Updates)] ページに戻ります。アップロードされたアップグレードパッケージとアップグレードパッケージの URL はまとめてリストされますが、明確にラベル付けされます。

管理対象デバイスへのコピー

Firepower ソフトウェアをアップグレードするには、アップグレードパッケージがデバイスにある必要があります。サポートされている場合、デバイスのアップグレードを開始する前に、この手順を使用して管理対象デバイスにパッケージをコピー(プッシュ)することをお勧めします。


(注)  

Firepower 4100/9300 では、必要な付属の FXOS アップグレードを開始する前に、Firepower Threat Defense アップグレードパッケージをコピーすることを推奨(場合によっては必須)しています。

サポートは Firepower のバージョンによって異なります。

  • バージョン 6.2.2 以前は、アップグレード前のコピーをサポートしていません。

    デバイスのアップグレードを開始すると、システムは最初のタスクとしてアップグレードパッケージを Firepower Management Center からデバイスにコピーします。

  • バージョン 6.2.3 では、アップグレードパッケージを Firepower Management Center からデバイスに手動でコピーする機能が追加されています。

    これにより、アップグレードのメンテナンス時間を短縮できます。

  • バージョン 6.6.0 では、アップグレードパッケージを内部 Web サーバーから Firepower Threat Defense デバイスに手動でコピーする機能が追加されています。

    これは、Firepower Management Center とその Firepower Threat Defense デバイスの間の帯域幅が制限されている場合に役立ちます。また、Firepower Management Center 上の容量も節約できます。

  • バージョン 7.0.0 では、アップグレードパッケージを Firepower Threat Defense デバイスにコピーするように即す新しい Firepower Threat Defense アップグレードワークフローが導入されています。

    Firepower Management Center がバージョン 7.0.0 以降を実行している場合は、[Device Upgrade] ページを使用して、アップグレードパッケージを FTD デバイスにコピーすることをお勧めします。詳しくは、FMC を使用した Firepower Threat Defense のアップグレード(バージョン 7.0.0) を参照してください。古い展開環境にあるアップグレードパッケージをクラシックデバイス(Firepower 7000/8000 シリーズ、ASA FirePOWER、NGIPSv)にコピーするには、引き続きこの手順を使用する必要があります。

手動でコピーする場合、各デバイスはソースからアップグレードパッケージを取得することに注意してください。システムは、クラスタ、スタック、または HA メンバーユニット間でアップグレードパッケージをコピーしません。

始める前に

管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

手順

ステップ 1

Firepower Management Center Web インターフェイスで [システム(System)] > [更新(Updates)] を選択します。

ステップ 2

デバイスが取得できる場所にアップグレードパッケージを配置します。

  • Firepower Management Center:手動でパッケージをアップロードするか、または FMC に直接取得します。

  • 内部 Web サーバー(Firepower Threat Defense バージョン 6.6.0 以降):内部 Web サーバーにアップロードし、そのサーバーからパッケージを取得するように Firepower Threat Defense デバイスを設定します。

ステップ 3

プッシュするアップグレードパッケージの横にある [Push](バージョン 6.5.0 以前)アイコンまたは [アップデートのプッシュまたはステージ(Push or Stage update)](バージョン 6.6.0 以降)アイコンをクリックして、接続先デバイスを選択します。

アップグレード パッケージをプッシュするデバイスがリストに表示されない場合は、間違ったアップグレード パッケージを選択しています。

ステップ 4

パッケージをプッシュします

  • Firepower Management Center:[Push] をクリックします。

  • 内部 Web サーバー:[送信元からデバイスへの更新のダウンロード(Download Update to Device from Source)] をクリックします。

Firepower ソフトウェアの準備状況チェック

準備状況チェックにより、ソフトウェアをアップグレードするための Firepower アプライアンスの準備状況を評価できます。 アプライアンスが準備状況チェックに失敗した場合は、問題を修正して、準備状況チェックを再度実行してください。準備状況チェックの結果、解決できない問題が見つかった場合は、アップグレードを開始しないようお勧めします。

準備状況チェックの実行に必要な時間は、アプライアンスのモデルとデータベースのサイズによって異なります。それ以降のリリースでは、準備状況チェックもより高速化されています。

FMC を使用した準備状況チェックの実行(バージョン 7.0.0 および FTD)

FMC がバージョン 7.0.0 以降を実行している場合は、[デバイスのアップグレード(Device Upgrade)] ページを使用して、FTD デバイスで準備チェックを実行することをお勧めします。詳しくは、FMC を使用した Firepower Threat Defense のアップグレード(バージョン 7.0.0)を参照してください。

以下の場合は、次のトピックを参照してください。

  • FMC 自体での準備状況チェックの実行。

  • 管理対象デバイスでの準備チェックの実行、および FMC がバージョン 6.7.x を実行している。

  • 管理対象デバイスでの準備チェックの実行、および FMC がバージョン 6.6.x 以前を実行している。

FMC を使用した準備状況チェックの実行(バージョン 6.7.0 以降)

この手順は、現在バージョン 6.7.0 以降を実行している FMC、およびそれらの管理対象デバイス(古いバージョン(6.3.0 ~ 6.6.x)を実行しているデバイスを含む)、および高可用性およびスケーラビリティ展開の FTD デバイスに有効です。


重要

FMC がバージョン 7.0.0 以降を実行している場合は、[Device Upgrade] ページを使用して、FTD デバイスで準備チェックを実行することをお勧めします。詳しくは、FMC を使用した Firepower Threat Defense のアップグレード(バージョン 7.0.0) を参照してください。FMC およびクラシックデバイスで準備状況チェックを実行するには、引き続きこの手順を使用する必要があります。

始める前に

  • FMC をバージョン 6.7.0 以降にアップグレードします。FMC が現在古いバージョンを実行している場合は、FMC を使用した準備状況チェックの実行(バージョン 6.0.1 ~ 6.6.x)を参照してください。

  • チェックするアプライアンスの FMC にアップグレードパッケージをアップロードします。バージョン 6.6.0 以降の FTD デバイスを確認する場合は、内部 Web サーバー上のアップグレードパッケージの場所を指定することもできます。準備状況チェックはアップグレードパッケージに含まれるので、これが必要です。

  • (オプション)クラシックデバイスを任意のバージョンにアップグレードする場合、または FTD デバイスをバージョン 6.3.0.1 ~ 6.6.x にアップグレードする場合は、アップグレードパッケージをデバイスにコピーします。これにより、準備状況チェックの実行に必要な時間を短縮できます。FTD デバイスをバージョン 6.7.0 以降にアップグレードする場合は、この手順をスキップできます。アップグレード自体を開始する前に、アップグレードパッケージをデバイスにプッシュすることをお勧めしますが、準備状況チェックを実行する前に行う必要はありません。

手順

ステップ 1

FMC Web インターフェイスで、[System] > [Updates] を選択します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックします。

対象アプライアンスのリストが、アップグレード前の互換性チェックの結果とともに表示されます。バージョン 6.7.0 以降、より複雑な準備状況チェックを実行する前に、FTD デバイスは特定の基本チェックに合格する必要があります。この事前チェックは、アップグレードが失敗する原因となる問題を検出します。これらをより早期に検出し、続行をブロックするようになりました。

ステップ 3

チェックするアプライアンスを選択し、[準備状況の確認(Check Readiness)] をクリックします。

他の適格なアプライアンスを選択できない場合は、互換性チェックに合格したことを確認してください。オペレーティングシステムをアップグレードするか、構成の変更を展開する必要がある場合があります。

ステップ 4

メッセージ センターで準備状況チェックの進行状況をモニターします。

チェックが失敗した場合、メッセージセンターは失敗ログを提供します。

次のタスク

[システム(System)] > [更新(Updates)]ページで、[準備状況チェック(Readiness Checks)] をクリックすると、進行中のチェックや不合格のチェックなど、FTD 展開の準備状況チェックのステータスが表示されます。また、このページを使用して、不合格となった後にチェックを簡単に再実行することもできます。

FMC を使用した準備状況チェックの実行(バージョン 6.0.1 ~ 6.6.x)

この手順は、現在バージョン 6.0.1 ~ 6.6.x を実行している FMC とそのスタンドアロン管理対象デバイスに有効です。


(注)  

クラスタ化されたデバイス、スタック構成のデバイス、 および高可用性ペアのデバイスについては、Linux シェル(エクスパートモードとも呼ばれます)から準備状況チェックを実行してください。チェックを実行するには、最初にアップグレードパッケージを各デバイスの正しい場所にプッシュまたはコピーしてから、コマンド sudo install_update.pl --detach --readiness-check /var/sf/updates/upgrade_package_name を使用します。詳細な手順については、Cisco TAC にお問い合わせください。

始める前に

  • (バージョン 6.0.1)バージョン 6.0.1 → 6.1.0 のアップグレードで準備状況チェックを実行する場合は、最初にバージョン 6.1 のプレインストールパッケージをインストールします。これは、FMC および管理対象デバイスに対して行う必要があります。『Firepower System Release Notes Version 6.1.0 Pre-Installation Package』を参照してください。

  • チェックするアプライアンスの FMC にアップグレードパッケージをアップロードします。バージョン 6.6.x FTD デバイスを確認する場合は、内部 Web サーバー上のアップグレードパッケージの場所を指定することもできます。準備状況チェックはアップグレードパッケージに含まれるので、これが必要です。

  • (オプション、バージョン 6.2.3 以降)管理対象デバイスにアップグレードパッケージをプッシュします。これにより、チェックの実行に必要な時間を短縮できます。

  • 構成を、構成が古い管理対象デバイスに展開します。そうしない場合、準備状況チェックは失敗することがあります。

手順

ステップ 1

FMC Web インターフェイスで、[システム(System)] > [更新(Updates)] を選択します。

ステップ 2

適切なアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックします。

ステップ 3

チェックするアプライアンスを選択し、[準備状況チェックの開始(Launch Readiness Check)] をクリックします。

ステップ 4

メッセージ センターで準備状況チェックの進行状況をモニターします。